Datenschutz im Verein - Teil 2

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Im Rahmen unseres Artikels „Datenschutz im Verein - Teil 1“ hatten wir die Datenminimierung sowie den Anspruch auf Richtigkeit von Personendaten im Zusammenhang mit der Mitgliederverwaltung von Vereinen erörtert.

 

Auch im Verein hat Datenschutz in angemessener Weise zu passieren und stellte sich in manchen Vereinen ein erhöhter Schutzbedarf für die Mitglieder heraus.

Heute werden Cloud-Services wie etwa GMX - welche für Vereine oft das kostengünstige Mittel der Wahl für E-Mail-Kommunikation, Speicherplatz und Kollaboration sind – besprochen. Die Entscheidung zur Cloud kann nur nach vorheriger Risikoanalyse getroffen werden. Im Anschluss wird vertretbaren Restrisiken mit den Maßnahmen Pseudonymisierung und Verschlüsselung begegnet.

Das Betroffenenrisiko hinsichtlich Verfügbarkeit könnte durch den Einsatz von Clouds gar gesenkt werden. Zunächst ist festzuhalten: Der Verein selbst ist für backups verantwortlich und ersetzt die bloße Verwendung von Clouds keineswegs eigene backup-Konzepte. Eine solche Betrachtung setzt aber voraus, dass Sicherungskopien auch angelegt und getestet werden – was in der Vereins-Praxis oft nicht der Fall ist. Kümmert man sich also nicht um backups so könnte man zum Schluss gelangen, dass ein zertifiziertes Rechenzentrum eine viel bessere Verfügbarkeit bieten wird als die Festplatte eines Laptops. Beim Letztgenannten sind der Verschleiß und der regelmäßige Transport (Umweltrisiken) eine stetige Gefahr des Verlustes von Personendaten.

Die Verfügbarkeit von Personendaten im Verein wird also regelmäßig eher für die Clouds sprechen.

Betrachtet man das Betroffenenrisiko aus einer Vertraulichkeits-Perspektive, können beim Windows-Laptop Bitlocker-Laufwerksverschlüsselung und Einsperren des Geräts im Vereins-/Hoteltresor taugliche Maßnahmen zum „lokalen“ Datenschutz sein. Clouds hingegen werfen – aufgrund des Übertragungsweges und der Speicherung an fremden Orten – mitunter erhebliche Vertraulichkeitsbedenken auf.

Die Vertraulichkeit von Personendaten im Verein könnte zuweilen gegen die Cloud sprechen.

Was können Sie als Mitglied oder Vorstand eines Vereines mit begrenztem Budget tun? Wenn man sich aus Kostengründen für den Cloud-Einsatz entscheidet, wählt man einen vertrauenswürdigen Betreiber, welcher

  • Zertifizierte - idealerweise in der EU gelegene - Rechenzentren (zB nach ISO 27001)
  • Multi-Faktor-Authentifizierung (zB SMS, Authenticator-Apps, Yubikey)
  • Verschlüsselte Datenübertragung (erkennbar an der Angabe „TLS/SSL“) und Speicherung

anbietet. Achtung: Eine Ende-zu-Ende-Verschlüsselung ist insbesondere bei kostenlosen Anbietern nicht zu erwarten!

Mitgliederlisten können durch Pseudonymisierung geschützt werden. Hierbei wird jedem Mitglied eine eindeutige Mitgliedsnummer zugewiesen. Eine Cloud-Kollaboration/-Kommunikation zwischen Vereinsvorständen kann in der Folge anhand der Pseudonyme passieren.

Etwa: "Mitgliedsnr. 3001 hat den Mitgliedsbeitrag 2021 bezahlt und bekommt den Mitgliedsausweis und den Trainingsanzug…"

Freilich setzt diese Maßnahme voraus, dass die Vereinsvorstände „lokal“ den Schlüssel in Form einer Tabelle besitzen: "Mitgliedsnr. 3001 = Max Mustermann, Anschrift, Telefonnummer... ". Der Kassier benötigt die Namen zur Zuordnung von Zahlungseingängen auf dem Vereinskonto. Ein anderer Vereinsvorstand braucht Name und Anschrift für den Versand von Mitgliedsausweis und Trainingsanzug.

Laden Vereinsvorstände also pseudonymisierte Dokumente in die Cloud und schicken sich die Schlüsseltabellen mit Post-Einschreiben so wäre dies ein möglicher Schritt zum Datenschutz mit „Hausmitteln“.

Es liegt auf der Hand, dass eine solche Pseudonymisierung unpraktisch sein könnte und die Kollaborations-Möglichkeiten des Internets nicht ausschöpft. Zwar würde ein Angriff auf die Cloud nur – für den Angreifer nutzlose – Mitgliedsnummern offenlegen. Andererseits würde sich die Frage nach dem Schutz der Schlüsseltabellen stellen - zum Beispiel mittels versperrbarem Aktenschrank und Aktenvernichter.

Letztlich wird die Mitgliederfluktuation entscheiden, ob eine solche Vorgangsweise praktisch ist. Gibt es nur zwei Vorstände und ist der Mitgliederbestand niedrig und konstant könnte das Aktuell-Halten klappen.

Besser wird in vielen Fällen eine Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik (etwa AES 256) sein. Solange Sie den Schlüsselcode nicht vernichten, ist nur von Pseudonymisierung, nicht aber von Anonymisierung auszugehen. Dies bedeutet, dass nach wie vor Identifizierbarkeit (via Entschlüsselung) besteht und die DSGVO anzuwenden ist.

Verschlüsselt also der Schriftführer den gesamten Datensatz „Mitgliedsnr. 3001, Max Mustermann, Anschrift, Telefonnummer, er hat den Mitgliedsbeitrag 2021 bezahlt und bekommt den Mitgliedsausweis und den Trainingsanzug…“ mittels 7-ZIP-Archiv (Einstellung: AES 256) lädt er jenes in die Cloud.

Der Vereins-Obmann bekommt den Schlüssel – welcher freilich die Kriterien sicherer Passwörter erfüllt – telefonisch oder per Postbrief. Solange der sichere Schlüssel von den Berechtigten geheim gehalten wird und soweit nach dem fortschreitenden Stand der Technik die Verschlüsselungsmethode nicht obsolet wird, ist von Ende-zu-Ende-Verschlüsselung auszugehen.

Der Vollständigkeit halber muss erwähnt werden, dass auch Cloud-Anbieter zunehmend aufpreispflichtige integrierte „Tresor“-Funktionen anbieten. Dies erhöht zwar den Benutzerkomfort gegenüber dem oben beschriebenen manuellen Erstellen und Entpacken von Archiven. Es stellt sich aber wiederum die Frage, inwieweit Sie dem Cloud-Anbieter vertrauen.

Falls Sie mit „Hintertüren“ in der Programmierung rechnen und die Personendaten in erster Linie gegen Zugriffe vom Cloud-Anbieter selbst schützen möchte,n würde dies für die oben beschriebene Open-Source-Lösung 7-ZIP sprechen. Theoretisch lässt der „offene“ Quellcode keine Hintertüren in der Programmierung erwarten, da jene rasch von Enthusiasten offengelegt würden.

Der Passwortschutz einer PDF-Datei selbst – zum Öffnen muss im PDF-Viewer ein Passwort eingegeben werden – ist nicht dem Schutzniveau einer „Verschlüsselung nach dem Stand der Technik“ (siehe oben zu 7-ZIP AES 256 Archiven) gleichzuhalten. Vereine werden dennoch – wenn es die Umstände rechtfertigen und erfordern – auf diese einfache Maßnahme zurückgreifen.

Schickt man etwa eine Wettbewerbs-Ergebnisliste (welche Teilnehmer, Reihung / Gewinner, Punktezahl, Sportart / Disziplin, Datum, Ort etc aufweist) nur an den begrenzten Adressatenkreis aller Teilnehmer so wird diese geringe „Verbreitung“ oft eine Reduktion des Schutzniveaus erlauben. Schließlich wird der Kreis möglicher Angreifer kleiner und steht die Vorgabe im Vordergrund, die Datei komfortabel ohne Spezialsoftware öffnen zu können. Ein starkes Passwort und dessen Übertragung auf einem gesonderten Kanal verstehen sich wie immer von selbst. Als häufiger Fehler ist bei Vereinen zu beobachten, dass sie zwar den PDF-Passwortschutz aktivieren, die PDF-Datei jedoch öffentlich zum Download anbieten und ein schwaches gleichbleibendes Passwort wählen.

Es muss nicht eigens erwähnt werden, dass sich die oben aufgeführten Maßnahmen – Pseudonymisierung, Archiv-Verschlüsselung, Tresor-Funktion, PDF-Passwortschutz – bei Bedarf auch kombinieren ließen. Allerdings erhöht ein „Übertreiben“ der Vertraulichkeit die Gefahr, sich selbst „auszusperren“ – und begründet man offensichtlich neue Verfügbarkeits-/Integritätsrisiken. (Dies gilt umso mehr beim Fehlen von Backup-Konzepten im Verein.)

Mittels einer tadellosen IT lassen sich Daten, insbesondere Personendaten, viel besser schützen als mit einer Arbeitsweise auf Papier. Bedenken Sie aber bitte, dass in Vereinen auch ältere Herrschaften tätig sind, von welchen kein „papierloses Büro“ zu erwarten ist. Einem Zwang zur Digitalisierung wird hier schon die Ehrenamtlichkeit entgegenstehen. Insofern haben Aktenordner mit händisch ausgefüllten Beitrittsformularen, Postbriefe etc. nicht ausgedient.

Die obenstehenden Ausführungen sind als Versuch aufzufassen, mit kostenlosen oder günstigen „Hausmitteln“ zu einem angemessenen Datenschutz in einem kleinen Verein zu gelangen. Wie Sie wissen, gibt es keine absolute Sicherheit und sind „hemdsärmelige“ Schutzmaßnahmen besser als keine. Um jedoch Unternehmensstandards gerecht zu werden, gibt man als namhafter Fußballclub oder Verein mit erhöhtem Schutzbedarf der Mitglieder (zB Polizeisportverein, Jagd, Paralympics) freilich die gesamte IT in professionelle Hände. Einem Werkssportverein – bei Industriekonzernen nicht unüblich – wird man sinnvollerweise IT- und Datenschutz-Infrastruktur und -Betreuung des Unternehmens gönnen.

In Folgeartikeln zum Datenschutz im Vereinswesen werden wir u.a. auf die Kontrolle freier Software auf Integrität mittels Prüfsummen, Datenübertragungen an Dachverbände, Datenschutzerklärungen auf Vereinswebseiten und Foto- / Videoaufnahmen eingehen. Wenn auch Sie in Vereinen tätig sind würde ich mich über Ihre Zuschrift und einen Erfahrungsaustausch freuen.